Sårbarheter i programvare kan alltid utgjøre en risiko, men konsekvensene kan bli ekstra ille dersom ondsinnede oppdager og kan utnytte sårbarheter i enten mye brukte programvarebiblioteker eller infrastruktur. Dette fordi dette er ressurser som brukes av så mange ulike produkter og tjenester.
Cloudflare er et selskap som leverer tjenester i den sistnevnte kategorien. Dette inkluderer en CDN-tjeneste (Content Delivery Network) hvor selskapet distribuerer innhold på vegne av andre store og små innholdsleverandører. En uoffisiell liste over mange av Cloudflare-kundene finnes her. Den omfatter over 4 millioner domener.
Den 17. februar oppdaget Tavis Ormandy, sikkerhetsforsker ved Google Project Zero, at enkelte websider levert av Cloudflare kunne inneholde det som var en dump av servernes ikke-initialiserte minne, ispedd gyldige data fra andre websider som tidligere var blitt levert av Cloudflare.
Passord og kryptonøkler
– Vi gjorde noen få live-eksempler og observerte krypteringsnøkler, cookies, passord, deler av POST-data og til og med HTTPS-spørringer fra andre brukere til andre, større nettsteder som hostes av Cloudflare, skriver Ormandy i et innlegg.
Han tok kontakt med Cloudflare, som skal ha reagert svært raskt. 47 minutter etter at selskapet hadde fått detaljene, skal en midlertidig og delvis løsning ha blitt rullet ut. Feilen skal ha vært ferdig rettet globalt etter sju timer.
Cloudflare: Mener tiden er inne for å ta i bruk kryptoteknologien TLS 1.3
Søkemotorproblem
Dette betyr ikke at problemet var over med dette. Flere søkemotorer tilbys brukerne mellomlagrede utgaver av sidene i søkeresultatene, og også disse måtte fjernes.
Ifølge Cloudflare ble det identifisert 770 unike URL-er fra 161 unike domener som var blitt mellomlagret hos Google, Yahoo, Bing og andre. Søkemotorene sørget for at disse mellomlagrede oppføringene ble slettet.
Det er uklart hvor lenge minnelekkasjen, som Ormandy sammenligner med Heartbleed, har vært tilstede. Men Cloudflare skriver at funksjonaliteten som var hovedårsaken til minnelekkasjen, ble tatt i bruk den 13. februar. I perioden fra den 13. til den 18. februar skal omtrent 1 av hver 3,3 millioner HTTP-spørring gjennom Cloudflare ha vært berørt av minnelekkasjen.
Selve sårbarheten var knyttet til programvare som Cloudflare bruker for å analysere og modifisere innholdet i HTML-sider.
Overflytsfeil
Rotårsaken til feilen var en overflytsfeil i en buffer. Den aktuelle C-koden var denne:
/* generated code */
if ( ++p == pe )
goto _test_eof;'
Ifølge Cloudflare ville man ha oppdaget at man hadde nådd grensen til bufferen dersom man hadde utført testen ved å bruke >= i stedet for ==.
Konsekvensene
Den private nøkkelen som Ormandy skal ha oppdaget i de lekkede dataene, skal være en nøkkel som Cloudflare bruker internt i kommunikasjonen mellom selskapets egne servere. Det at denne har blitt lekket, berører ingen andre enn selskapet selv.
Nøyaktig hvilke andre data som kan ha blitt lekket, er uklart. Men det kan altså dreie seg om passord. Ifølge Ormandy skal dataene også ha inkludert ikke-krypterte API-spørringer fra et populært verktøy for passordadministrasjon.
Trolig dreier dette seg om 1Password. Selskapet bak tjenesten, AgileBits, er blant kundene til Cloudflare. Men selskapet avviser at 1Password er berørt av det som enkelte nå kaller for Cloudbleed.
Det er som nevnte en mengde nettsteder som benytter Cloudflares tjenester. Blant de mer kjente finner man nettstedene til Uber, Yelp, Medium, JQuery, Laravel, Fitbit, Feedly, Paste.bin, samt thepiratebay.org. I hvilken grad de berørt, er derimot ukjent.
Har data blitt lekket på internett, er det i praksis ikke mulig å fange dem inn igjen. Men man kan sørge for at eventuelle passordlekkasjer ikke kan utnyttes ved å bytte ut passordene til alle tjenester som kan være berørt av lekkasjen.
Les også: Disse taklet ikke skuddsekundet - ett tegn førte til krasj hos global IT-tilbyder